介紹了SYN Flood攻擊的原理，分析了基于異常檢測的入侵檢測方法，利用信息論的相關原理，通過對到達目的IP和目的端口的SYN包的概率統計，計算其異常值并和門限值比較，有效地檢測出SYN Flood攻擊。以預處理插件的形式，將Anti SYN Flood的模塊加入到入侵檢測系統中，給出了檢測流程、主要數據結構和程序框架，并作了相應的測試。
關 鍵 詞 異常入侵檢測系統; 同步洪水攻擊; 傳輸控制協議; 信息量
中圖分類號 TP309 文獻標識碼 A
Implement of Anti SYN Flood
Cheng Jin Luo Kelu
(School of Computer Science and Engineering, UEST of China Chengdu 610054)
Abstract The opening of Internet offers great convenience of information sharing and exchange, accompanied with crucial challenges to network security. Security issues have evolved into the key problem of information times. SYN flood is one of deny of service attacks through sending a lot of SYN packets. Through computing probabilities of received SYN packets and comparing with normal threshold, system finds out the SYN intrusion and writes it into alert log file.
Key words anomaly-based; SYN flood; transfer control protocol; information
互聯網的開放性為信息的共享和交互提供了極大的便利，但同時也對網絡的安全性提出了嚴峻的挑戰。隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，網絡安全也向著縱深化、多樣化方向發展。與此同時，網絡環境也變得越來越復雜，各種復雜的設備需要不斷升級、補漏，使網絡管理員的工作不斷加重，不經意的疏忽便有可能造成安全的重大隱患，網絡安全已成為信息時代的關鍵問題[1,2]。
1 SYN Flood攻擊原理
SYN Flood是當前最流行的拒絕服務攻擊(Deny of Service, DOS)的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式[3]。TCP協議是專門用在不可靠的因特網上提供可靠、端到端的字節流通信協議，即為了在服務端和客戶端之間傳送TCP數據，必須先建立一個虛擬電路。客戶端先發送一個包含SYN標志的TCP報文，向服務器表示需要連接，然后等待服務的響應，SYN報文會指明客戶端使用的端口以及TCP連接的初始序號(SEQ＝x)；服務器收到客戶端的SYN報文的連接請求后，查看是否在LISTEN的是指定的端口，如果不是，服務器就發送RST＝1應答，拒絕建立連接，如果接受連接，服務器將返回一個SYN+ACK的報文，同時TCP序號被加一(SYN＝y，ACK＝x＋1)，表示服務器已連接好，等待客戶端對服務器SYN的確認；客戶端也返回一個確認報文ACK給服務器端，同樣TCP序列號被加一(SYN＝x＋1，ACK＝y＋1)。TCP連接完成后，雙方就可以發送數據，該過程在TCP協議中被稱為三次握手。
在惡意攻擊情況下，攻擊者大量偽造IP數據包向服務器發送，請求新的連接，導致服務器端為了維護一個較大的半連接列表而消耗非常多的資源。特別是攻擊者以比服務器丟棄未完成的連接更快的速度發送偽造IP的數據包，情況更為惡劣。即使服務器端的系統足夠強大，服務器也將忙于處理攻擊者偽造的TCP連接請求而無暇滿足客戶的正常請求(該情況下客戶端的正常請求比率已非常小)，此時服務器失去響應，即服務器端受到了SYN Flood攻擊。
2 基于異常的Anti SYN Flood實現
2.1 檢測原理
異常檢測是目前入侵檢測系統的主要研究方向，其特點是通過對系統異常行為的檢測，可以發現未知的攻擊模式。異常檢測的關鍵在于正常使用模式(Normal Usage Profile)的建立以及利用該模式對當前的系統/用戶行為進行比較，從而判斷出與正常模式的偏離程度。模式通常使用一組系統的度量來定義，每個度量都對應于一個門限值或相關的變動范圍，例如檢查CPU利用率是否猛烈增長、內存占用率激增、用戶登錄失敗次數增加、文件鎖定過多等。